Hotmailと.NET Passportにアカウント乗っ取りの大穴 197
ストーリー by Oliver
なぜこんな駄仕様 部門より
なぜこんな駄仕様 部門より
マイクロソフトの.NETアカウントの管理システムにアカウントが簡単に乗っ取れる重大なセキュリティホールが発見された。具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう、というものだ。この様にパスワードが再設定されれば、攻撃者はそのパスワードを使って、アカウントを完全に手中に納めたことになり、アカウントの悪用だけでなく、もし保存されていれば、被害者の誕生日やクレジットカードといった個人情報すらも盗めてしまう。特筆すべきはHotmailがこの.NETアカウントを使っていて、Hotmailユーザはメールも読まれてしまうことだ。
発見者は何度もマイクロソフトやHotmailにコンタクトをとろうとしたが、反応が得られず、Full-Disclosureメーリングリストに詳細を投稿した。手口があまりにも簡単なことから、大きな被害が予想される。もし、こんなもんを使っていたら、いますぐ個人情報を削除すべきだ。
この穴・・・ヤバいですね (スコア:3, 興味深い)
>任意のコードを実行できる
ってのとはちょっと違いますね、危機レベルが。
任意のコードを実行できる穴というものは、
結局それなりにコンピューターのことが分かってないと
「悪用」する「方法」を思いつかないわけです。
どのようなプログラムコードを走らせればいいか分からないレベルの
人間(私のような)には悪用は出来ないわけです。
でも、
>具体的には特定のURLを開くことにより、被害者のアカウントのパスワードを
>再設定するためのURLが攻撃者の指定する任意のメールアドレスに送られてしまう
なんていうのは、「特定のURL」の作り方さえわかっていれば、メーラーとブラウザの使い方しか
わからないようなレベルの人間にも悪用が出来るわけですね。
ヤバいことには、個人情報が漏れるだけでなく、そいつのHotmailをつかうことで
「なりすまし」なんてことも出来てしまうわけですね。ターゲットが顔見知りだったら、
人間関係をグダグダに壊すことも可能ということですね。ターゲットがHotmailを頻繁に使う人であれば。
速攻、個人情報削除しました。
Re:この穴・・・ヤバいですね (スコア:2, すばらしい洞察)
セキュリティ製品がセキュリティ上の穴を もってるというのは、問題の深刻さとして ランクが違うと思うのです。
セキュリティ製品を作る人は通常の開発者よりも セキュリティについて詳しい人であるべきで、 その開発は他の製品よりもより厳しい製造設計監査 プロセスを経ているべきであり、 おそまつな設計ミスがあったってことは、 これらがしかるべく機能していない可能性があるという ことを意味しています。
Re:この穴・・・ヤバいですね (スコア:1)
そ、そうかな。
「それなり」にはいろんな解釈が可能ではあるけど、任意の
コードを実行できるような穴の場合、とりあえずソフトを
ダウンロードしてインストールして実行できる程度の知識が
あれば、悪用は出来るんじゃないの。
繋がってさえいれば、悪用の詳しい手順を自分で発明する必要は
ないんだから。誰か一人だけは発明する必要があるだろうが。
URLの方は、設定によっては自動的に開くブラウザや、相手に
開かせるテクニックがかなり存在するとはいえ、実行には一応
ワンステップあると思う。
Re:この穴・・・ヤバいですね (スコア:1)
先ほど試したけどダメでした。
もちろん自分のアカウントで、ですが。
Takeshi HASEGAWA
Re:この穴・・・ヤバいですね (スコア:1, すばらしい洞察)
Passportってのは本来そういう使い方をするものです。
カード番号やオンラインバンキングのパスワードなども含む
あらゆる個人情報(それもとびきり濃いやつ)を集中管理することで
管理の手間を減らし、情報の出入りを監視しやすくすることで
安全性を高めるのがその役割です。
ですから通常のアプリケーションよりはるかに堅牢なセキュリティが求められますし、
MSはそれを達成していると公言してきたわけです。
単に捨てアドのパスが漏れますよー、というレベルの事件ではないのですよこれは。
#まあMSの言うことを信じること自体管理意識の欠如だ、というのは同意できるけど
#Passport使わないと利用できないサービスもいっぱいあるんだよ
Re:この穴・・・ヤバいですね (スコア:1, おもしろおかしい)
やっぱり危機管理意識が(w
今回の事件による1番の被害者は (スコア:2, おもしろおかしい)
There is no spoon.
必見! .NET Passport で相手のパスワードをリセットで (スコア:1, 参考になる)
ここに方法を公開します。
♪手順1: あなたの好きなブラウザを使って
https://register.passport.net/emailpwdreset.srf?lc=1033&em=(ここに相手のメールアドレスを入れてね!)&id=&cb=&prefem=(ここにあなたのメールアドレスを入れてね!)&rst=1
にアクセスします☆
♪手順2: あなたにメールが届くので、そのメールの指示に従って相手のパスワードをリセットしちゃおう!
ここで注意!!手順1で相手のメールアドレスとあなたのメールアドレスを逆にすると、相手にあなたのパスワードをリセットされちゃうよ!
ささやかな対策 (スコア:1)
1.ファイヤーウォールやウィルススキャンの導入。
2.Webアプリの選定
ブラウザは、私の場合キャッシュも使用するため(仕方なく)IEを使用しておりますが、キャッシュに用がなければ、普及率の低いブラウザがおすすめ。
メーラーは、テキストオンリーのフリーメーラーです。
当然、マクロやHTML入りは即刻削除(読めないからすぐわかる)。
ちなみにHotmailは使っていません。なんかめんどくさそうで。
3.個人情報は極力隠す。
パスワードデータは圧縮やら偽装やらを仕掛けて、探す側がうんざりするような場所に分散して保管。
おかげでこっちも難儀しております。(^_^;
4.携帯電話の電話帳に相手の個人情報を登録しない。
もし紛失したら、相手にも迷惑がかかるもん。
ささやかな工夫の一部ですが、初心者さんには参考になったでしょうか?
(もちろんこれで完璧だとは思わないけど)
もし、その工夫にも問題があったらご指摘願います。m(_ _)m
Re:ささやかな対策 (スコア:1)
私はそれほど用心深いわけでもないんですが、不用意に個人情報を入力しない、とくに このような免責条項(有効かどうかはさておき)のあるサービスには、と言うのには賛成です。
# で、そうするとどこのサイトにも情報を入力できないので、ネットで買い物ができない…。結局住所氏名はあきらめて、代引きにして、カード番号は晒さないようにしとります。
あと、ついでながら
ここら辺、意味不明です。webアプリ [google.co.jp] キャッシュ [google.co.jp] キャッシュ [google.co.jp]
キャシュについて補足 (スコア:1)
Webからデータを引っ張り出すとき、とくにFlashデータは「保存」メニューがきかない場合が多かったんで、キャシュから直接引っ張り出しています。
ところがNetscapeだと、バージョンごとにキャッシュの位置が違うみたいで、Netscape6用キャッシュ操作プログラムがNetscape7では通用しなかったんです。
IEでは、IE5用キャッシュ操作プログラムがIE6でも通用しちゃいまして、「たぶん、キャッシュの位置は同じだろう」と思った次第です。(なんといいかげんな)
そのキャッシュ操作をする必要がないなら(ふつーは不要だと思う)、Netscapeあたりにしたいところですね。
クラッカーは普及率の高いプログラムを優先的に狙いますから(消極的対策)。
布教活動(?) (スコア:2, 参考になる)
ロケーションバー(アドレスバー)に about:cache と打ち込めば、キャッシュを見る事ができます(ついでにキャッシュがどこのディレクトリに在るかも分かります)。
あと、flashを保存したいなら[表示]>[ページの情報]>[メディアのタブ]([ctrl+I]>[メディアのタブ])で、必要な情報を選んで、[名前をつけて保存]で、多分大丈夫だと思います(* mozillaに「日本語ランゲージパック」を適用したものなので、Netscapeの日本語版とはメニューの用語は多少違うかもしれません)。もし、Netscapeを使ってないけどインストールはしてる、という状態ならお試しください。
Re:キャシュについて補足 (スコア:1)
[ページの情報を表示] > 「メディア」タブを選択
該当の flash を選択、「名前をつけて保存」ボタンで
大抵のFlashの保存ができますけど、それでは駄目ですか?
Re:ささやかな対策 (スコア:1, すばらしい洞察)
Re:ささやかな対策 (スコア:1)
>もし紛失したら、相手にも迷惑がかかるもん。
一部(いや、大部分かも)の人にとっては、
携帯電話番号もしくはメールアドレスとその人の名前の組み合わせは、
十分不特定少数への漏洩に関して脅威となりえる個人情報になります。
携帯電話の電話帳機能は使うなって事かな?
いや、わかっちゃいるけどやっぱ使っちゃうんだけどね。
ちょっとだけほっとできる話題 (スコア:1)
Macユーザーも被害対象? (スコア:1)
『Mactopia』
http://www.microsoft.com/japan/mac/default.asp
では、Slash Jと同様に情報メール配信を受けようとすると、自動的に.NET Passportへの登録が必要となります。
登録しなくて良かった。
----------- 一生勉強を続けなきゃ!
Re:Macユーザーも被害対象? (スコア:1)
Mactopiaでも.NET使ってるということを認識して欲しかっただけです。
知らず知らずに.NETユーザー!ああ、恐い。
#冗談が下手なので実名
----------- 一生勉強を続けなきゃ!
2兆2000億ドルを超える罰金の可能性 (スコア:1)
大穴報道は必要だけどさ (スコア:1, すばらしい洞察)
MS自身も「緊急」というお知らせを載せているものがあるし、この報道自身を否定はすることは、あってはいかんな。
最近、MSもこういったたぐいのセキュリティ関連のUpdateをかなり迅速にやるようになってきたし、それは評価していいことだと思う。でも、大きな穴が同社に自覚されずにいて、かつ報道もされていない場合は、はやり外部からの騒ぎもあって然るべき。
「おれはMSが嫌いだー!」
「おれはMSが好きだー!」
の言い合いは、それ以前の話として
醜い
だけ。
もっとも、醜くなりたいっ!というくらい欲求不満ためてる人たちがこういうことしてるんだろうね。まぁ、どっちもどっち。
「目くそ鼻くそを笑う」。
「脆弱性」にもいろいろなあると思うのですが? (スコア:1)
httpsであるにもかかわらずセッションのチェックもせず、
GETメソッドのパラメータも無効にせず、
https://register.passport.net/emailpwdreset.srf という
リマインダー機能を持ったサーバアプリケーションが稼動してしまう設定になっていた、
ってことじゃないんでしょうか?
「技術的に何が問題だったのか」が詳しく説明されていないのですが、
これは本当に「脆弱性」だったのでしょうか?
それとも単純な「設定ミス」ではないんでしょうか?
COBOLerが作ったJavaアプリを引き継いで鬱になりまくり。・゚・(ノД`)・゚・。
Re:セキュリティなんてどうでもいい (スコア:1, すばらしい洞察)
MSは「MS製品は最高に安全だ」「セキュリティ被害はクラッカーが悪い、MSは悪くない」「安全性を増すために、最新版のソフトを買え」程度のコメントしか出さずに新たなセキュリティーホールをばんばん出すので、信用できないんですよ。
Re:セキュリティなんてどうでもいい (スコア:1, 興味深い)
「MS製品は最高に安全だ」
→「安全なOS」など存在しない。そもそも今回の件はOSの問題ではない。
「セキュリティ被害はクラッカーが悪い、MSは悪くない」
→当然、クラッカーが一番悪いわけですが、MSに責任はあっても罪はない。まぁ、過失であるわけだからセキュリティホールそのものに関してMSを責めるのはお門違い。(対策が遅いなどの苦情はありだと想いますが)
「安全性を増すために、最新版のソフトを買え」
→そんな事をMSは言っていない。アップデートをきちんとし、セキュリティ情報に気をつけろといっている。
セキュリティホールはどんなソフトにも存在するわけで、セキュリティの問題にMSの好き嫌いの感情を持ち込むことは、根本的な解決ではありません。
Re:セキュリティなんてどうでもいい (スコア:1, おもしろおかしい)
セキュリティホールは難しくてよくわかんないのに対し、階段からころげおちる危険は子供にだってわかるという違いはあるけどね。
Re:セキュリティなんてどうでもいい (スコア:1)
> し、テレビでもそんなこと放送してないけど、それでもぼ
> くは、階段を上り下りするときは、ころげおちないように
> いつも注意してます。
声優の塩沢兼人氏が亡くなったときの訃報はテレビでこそ流れなかったものの、結構いろんなマスコミで取り上げられていたと記憶しているのですけれど(苦笑
--- ほしみ
Re:セキュリティなんてどうでもいい (スコア:1)
ってそれだけじゃアレなので。
#ネタにマジレスな気もしますが
"塩沢兼人" [google.co.jp] +"階段" [google.co.jp]でぐぐった結果から、このへん [nifty.com]を見れば何となくわかるのではと。あと公式FCのサイト [dreamin.sub.jp]とか。
Re:塩沢兼人氏(かんぜんおふとぴ) (スコア:1)
Re:セキュリティなんてどうでもいい (スコア:1)
いざ自分が被害者になったら大騒ぎするくせに。
#セキュリティが気にならないからAC
----------- 一生勉強を続けなきゃ!
Re:セキュリティなんてどうでもいい (スコア:2, おもしろおかしい)
ほら、ACなんて書いて実名出してるバカ(shunta)がここにいるからセキュリティ問題が重要なことが分かるでしょ。
これで狂信的MS教信者から大量の嫌がらせメールが来たら報告します。(笑)
#バカ本人なのでAC(なぜ?)
----------- 一生勉強を続けなきゃ!
Re:セキュリティなんてどうでもいい (スコア:1)
ちゃんと匿名にしたのに、、。セキュリティホールだ!(冗談)
ご指摘ありがとうございます。
#心配をかけて申し訳ないので実名
----------- 一生勉強を続けなきゃ!
Re:セキュリティなんてどうでもいい (スコア:1)
むしろ、セキュリティホールだと騒ぐやつを「不正アクセスを幇助する」といって取り締まったほうが、逆に被害が少なくなくなるかもね。
「普段家庭の台所にあるシェア率99.999%の『包丁』にとんでもないセキュリティホールがありました!! なんとこれで人間の腹部を切ったり、刺したりすると人は負傷してしまい、最悪死んでしまいます!! 直ちに包丁は使用しないように捨てましょう!! また隣人に使用しないようにも呼びかけましょう!!」
# さてどんなモデがくるかな(笑
Re:セキュリティなんてどうでもいい (スコア:1)
使わない以外の解決策はないのでしょうか。
あ、もちろん包丁に発見されたセキュリティホールですが・・・
そういや、このセキュリティホールを利用して
隣人を攻撃した場合は「不正アクセス」なんですか?
不正アクセスに殺されちゃう人もでちゃうわけですね。
Re:セキュリティなんてどうでもいい (スコア:2, おもしろおかしい)
さもないと、中身(個人情報)が飛び出る恐れがあります。
Re:セキュリティなんてどうでもいい (スコア:1)
RYZEN始めました
Re:セキュリティなんてどうでもいい (スコア:1)
今回の件を家電製品でたとえるなら…画像調整つまみが前面に出ているようなテレビとか?
説明は書いていないが、いつでもいじれる。
自分でいじっておかしくなることもあれば、知らないうちにいじられて映らなくなってしまうこともあるかもしれない。
そんなテレビが普及していたら…
街頭テレビでそんないたずらができたら…
興味のある人は、少しずついじりながら仕組みを理解したりするかもしれないが、大半はいたずらによる被害に悩まされることとなるだろう。
触るやつが悪いのは当然だが、そんなものを堂々と前面に出しておく設計の方がおかしい。
#でも今はみんなデジタル調整で、つまみなんか無いのか(汗
Re:セキュリティなんてどうでもいい (スコア:1)
それを使ってきちんとした仕事をするか、犯罪を行うかは使う人によるわけで。
コンピュータはもとより包丁にしても完全に安全な道具だとは言いませんが、
あなたの包丁の例は「道具の使い道を誤らないようにしよう」ということで、
セキュリティホール云々は関係ないと思うのですが、いかがですか?
使っていると勝手に刃が外れてしまうような包丁は、セキュリティ的に問題があると思いますけど。
そんな包丁、誰も使いませんよね。
Re:セキュリティなんてどうでもいい (スコア:1)
その世界では、自動車はハンドルとペダルではなくラジコンのコントローラのようなもので操縦するのが一般的でした。
車を降りて多少離れたところからも狭いところに駐車させたり自分の元に移動させられるので便利です。
さて、あるときその自動車開発の最大手であるマイクロト○タ製自動車に重大な欠陥が見付かりました。
なんとコントローラの出力周波数を少しいじるだけで、他人の車を操縦できてしまうのです。
この脆弱性を利用すれば、他人の車を勝手に使ったりスピード違反をさせたり、
人を轢かせたり海に突っ込ませることも出来てしまいます。
さて、あなたは自分の車は大丈夫と信じて何も対策せずに乗り続けますか?
Re:セキュリティなんてどうでもいい (スコア:1, 興味深い)
その人が加害者となって、他人を攻撃するのが
ここ数年の特徴です。
つまり。あなたや貴方の知り合い自体には被害が無くて、
その裏で、あなたや貴方の知り合いのPCから
他人へ沢山、ウィルスの乗ったメールを送るだとか
知らぬ間にどこかにDDoSアタックを仕掛けているだとか
そういうことをしているかもしれないのです。
自覚の無い伝染病患者みたいなもの?
最近だとSARSとか。SARSに感染しているんだけど
本人は気付かずに外を出歩いているような感じ、、なのかも
知れないことは考えておいたほうが良いですよ。
Re:1つ忘れてるぞ (スコア:1, すばらしい洞察)
鈍感になり過ぎるよかマシでしょう。 (スコア:5, 参考になる)
本家のストーリー [slashdot.org]
News.comの記事(英語) [com.com]
CNET Japan の記事 [cnet.com]
Microsoftセキュリティ [microsoft.com]でもまだ日本語情報出てませんね。
現時点ではこんなトコですか。
母win95のまま8年間使ってるが・・・ (スコア:1)
・・・だってネットに繋いでないんだもん。(笑)
一方で、12万も出してダイヤルアップ専用の端末機(AirBoard初代機)を購入するし、うかつなんだよな。
Re:母win95のまま8年間使ってるが・・・ (スコア:1)
# ソースは失念。
気づいてないだけだったりしない? (スコア:1)
Re:俺win98のまま6年間使ってるが・・・ (スコア:1, 参考になる)
> このときからIEは使用禁止になっています。
ということは IE でどこかのページを開いたら感染したということか?
そんなに感染力あるウィルスなら社外でも大騒ぎになっているはずだし
そんな状況で野放しで外部に接続させる管理者もどうかと思うがな
ちなみにうちはウイルス付のメールが一通でもきたら
社内から取引先まで警告するぞ
#各部署の担当者が大声で警告してまわる
#LAN経由で感染する場合は状況が落ち着くまではLANのケーブルも抜かれる
「xx を使っていて感染したから xx を使用禁止にしよう」
なんて対策は甘いとしか思えん
というかそんなの対策ですらない
Re:俺win98のまま6年間使ってるが・・・ (スコア:1)
笑ってしまった.やっぱ最後は人力ってことか...
> LANのケーブルも抜かれる
これは凄い工数掛かりそうでいや~んな感じですね.
#ゲートウェイ機器だけとしてもいや~ん
Re:俺win98のまま6年間使ってるが・・・ (スコア:1)
アンナ・クルニコワんときに、シマンテックの定義ファイルが間に合わなかったので
SMTP Gateway にトレンドマイクロの Virus Wall いれて、内側の
シマンテック製品と二人三脚させてます。
リスクヘッジですね。
両社ともに間に合わなかったときは、あきらめてスイッチ落とすことにしてます。
うちは一部上場じゃないけどさ(苦笑
むしろ (スコア:1)
ウィルスチェッカってのは、補助的なものでしかないんよ。
だからその効果を過信したらあかん。
最終的には、自分のセキュリティ意識が重要ってことで。
# ACなのでAC
Re:セキュリティなんてどうでもいいっていうのは・・ (スコア:1, 興味深い)
セキュリティについては心配しているが、具体的に何をやったらいいのかわからないという人が大半ではないかと。実際にそういう人をかなり多く見かけます。
雑誌などのセキュリティ特集記事でも「こういう製品を使えば解決できます」のように製品を買わせるための誘導記事ばかりですし。基本中の基本(「パスワードはユーザ名などの公開情報などから類推できないものを使いましょう」とか)ですら啓蒙しようとしていない書籍類が多すぎます。
まぁ雑誌社等からすれば、セキュリティ問題を取り上げてどのソフトにどういう穴があるのかを伝える行為というのは、メーカーの顔に泥を塗る行為に等しいわけで、結果として伝えたがらない傾向が大きいというのはその通りだと思いますが。。
というか (スコア:2, 興味深い)
どんな分野にだって、アンチは発生し得るんです。
ただ、世の中に跋扈するほど勢力がなくて相手にもされないのが普通かと。
きっと"普通"で済まない理由があるからでしょう。
自分は関係者じゃないから知ったこっちゃないけど(ぉ
とりあえず、セキュリティの問題にアンチもへったくれもないのでオフトピ決定ということで。
# ACなのでAC
Re:なぜこの産業にだけ異常にアンチが多いの? (スコア:1)
> (例:自動車?、冷蔵庫、扇風機、大根)
アンチ青首大根は少なからずいると思います. まあ冬場になると三浦大根を買うために100km自転車で走るやつは少ないと思いますが.